Hoe kan ik IP-beveiliging configureren

Hoe kan ik IP-beveiliging configureren


IP Security beschermt netwerkverkeer op een fundamenteel niveau, en daarom veel bedrijfskritische toepassingen vereisen deze geavanceerde configuratie aanpak. Het instellen van IP Security (IPsec) daagt netwerkbeheerders, echter, omdat het een groot deel van de controle over zowel de client en server kanten van het netwerk configuratie vereist. Configureer IPsec met Windows Group Policy Objects (GPO) door het creëren van bijzondere voorwaarden voor de client en de server.

instructies

1 Configureren van de Windows-firewall bypass naar klant het verkeer in staat te stellen de host-gebaseerde firewall te omzeilen. In de Active Directory Group Policy Editor, klik met de rechtermuisknop op de organisatie-eenheid (OU) met de computer doel van uw doelgroep server en kies "Maak een GPO in dit domein en hier een koppeling maken." Geef de Group Policy Object (GPO) een betekenisvolle naam en klik op "OK." Klik met de rechtermuisknop op het GPO en selecteer "Bewerken." Vouw het beleid template boom in de volgende volgorde:. "Computer Configuration ',' Administrative Templates," "Netwerk", "Network Connections" en "Windows Firewall" In het rechterdeelvenster dubbelklikt u op het beleid "Windows Firewall: geverifieerde IPSec-bypass" en klik op "ingeschakeld."

Een firewall bypass beleid IPsec namen een specifieke groep die toestemming om IPsec te gebruiken om de host-gebaseerde firewall doorkruisen zal worden verleend. In het veld "definiëren IPSec-peers worden vrijgesteld van firewall-beleid:" geef de Veiligheidsraad Descriptor Definition Language (SDDL) string voor de toegestane groep. Het formaat van de SDDL string voor een enkele groep is: "O: DAG: DAD: (A ;; RCGW ;;; SID)," waarbij SID is de Security Identifier (SID) van een groep account. Daarom, om de instelling voor uw groep te definiëren, de tekst van het beleid leest iets als "definiëren IPSec-peers worden vrijgesteld van firewall-beleid: O: DAG: DAD: (A ;; RCGW ;;; S-1-5-21 -4214763869-96332444560-8429442246-100290). " Gebruik de GETSID command-line utility achter de naam beveiligingsgroep de SID te bepalen of u nog niet weet het.

2 Wijs een server-side "vereisen encryptie" -regel in Groepsbeleid. Om encryptie via IPsec nodig hebt, moet je een security regel om het groepsbeleid Windows Instellingen> Beveiliging instellingen> IP-beveiligingsbeleid sectie toe te voegen. In de Group Policy Editor, klik met de rechtermuisknop op de organisatie-eenheid die de computer doel van uw doelgroep server en kies "Maak een GPO in dit domein en hier een koppeling maken." Geef de Group Policy Object (GPO) een betekenisvolle naam en klik op "OK."

het beleid template boom uit te breiden in de volgende volgorde:. "Computer Configuration", "Windows-instellingen" en "IP-beveiligingsbeleid op Active Directory" Klik met de rechtermuisknop op de "Secure Server (Vereist Veiligheid)" beleid in het rechterdeelvenster en selecteer "Toewijzen." Wanneer toegewezen, dit beleid vereist dat alle verkeer proberen om de server IPsec gebruiken bereiken.

3 Configuratie van een client-side "vereisen encryptie" regel. Om klanten om encryptie te gebruiken om de server te bereiken, moet u een beleid voor die klanten die encryptie zorgt alleen voor het doel server te configureren. In de Group Policy Editor, klik met de rechtermuisknop op de organisatie-eenheid met de groep object dat alle klanten die toestemming om IPsec gebruiken om het doel te bereiken server zal omvat. Selecteer "Maak een GPO in dit domein en hier een koppeling maken." Geef de GPO een betekenisvolle naam en klik op "OK."

het beleid template boom uit te breiden in de volgende volgorde:. "Computer Configuration", "Windows-instellingen" en "IP-beveiligingsbeleid op Active Directory" Dubbelklik op de "Client (alleen reageren)" beleid in het rechterpaneel. Klik op "Add ..." om de Regel wizard Beveiliging starten. Accepteer de standaardwaarden voor "Tunnel Endpoint" en "Network Type", maar op het "IP Filter List" pagina klikt u op "Add ..." Op de "IP-filter", pagina de naam van de filter lijst en klik op "Add .. . "naar de server toe. Volg de wizard en waarin wordt aangegeven "Elke IP-adres" voor de bron adres en "Een specifiek DNS Name" voor de doelserver. Voer de naam van de doelserver in de "hostnaam:" veld. Voltooi de wizard met de rest van standaardwaarden en klik op "OK" om het "IP Filer List" wizard te sluiten. In de "Rule Wizard Beveiliging" te selecteren "Permit" als de filter actie en klik op "Next" om de wizard te voltooien.

Wanneer toegewezen, dit beleid vereist dat alle verkeer van de client machines een poging om de server IPsec gebruiken te bereiken, maar het verkeer gaat naar een andere server niet.

4 Groepsbeleid toepassen updates voor zowel de cliënten als de server. Op elke machine opent een opdrachtprompt en typ "gpupdate." Als u wordt gevraagd zich af te melden, doen.

Hints

  • Noem elk groepsbeleidsobject zorgvuldig met het oog op het oplossen van problemen IPsec gemakkelijker te maken. Gebruik de command line utility "gpreport" te bekijken welke groep beleid is ingeschakeld en kijken naar de groepsbeleidsobjecten in de lijst van toegepaste beleid.
  • Controleer de firewall-regels op de server om ervoor te zorgen dat alle filter regels niet nodig voor beheer op afstand uitgeschakeld. De firewall bypass beleid zal toestaan ​​dat de klanten via omdat hun verkeer wordt versleuteld met behulp van IPsec, maar deze configuratie verliest zijn werkzaamheid als de firewall toestaat alle verkeer door, want het is geconfigureerd.
  • Om IPsec op een server Windows 2003 of eerder te configureren, bekijk de Petri IT Knowledgebase artikel.
  • Om IPsec te werken UDP-poort 500 en IP-poort 50 moet worden toegestaan ​​op netwerkniveau via firewall vrijstellingen. Bovendien, NAT-Traversal moet worden geconfigureerd op de firewall.